那么接下来,先对我们的第一台OA服务器进行一个上机排查,那么这个是我已经给大家写好的东西。我们先提前来给大家简单的总结一下,先把这个思路和框架确定下来,既然被攻击了。那么就有可能被感染,我们就要上机排查。上机排查的是有什么?既然被攻击,攻击者就可能会做权限维持的操作,对不对?需要做权限维持和横向攻击,那么就必定有样本,所以说这个部分我们是去找样本。
再然后他的横向攻击的行为有很多,登录算不算?登录算是吧?那么他去执行这些可疑程序和恶意样本的时候,会不会有一个执行的一个痕迹?是不是?好,所以说结合这一个整体的思路,我们就开始了我们的这一次排查分析。你既然打进来了,打进来了,你就有可能做权限维持和横向攻击的操作,那么就有可能留下样本,那么我们去找样本就行了。
那么我们这里是通过火绒这个图有点小,给大家放大,我们通过火绒去定位这个恶意程序,但去定位这个恶意程序的时候,我们是发现了Java的ese进程下面存在两个子进程,一个是cmd,其中一个CMd执行了恶意程序,点ese这个是比较明显的,玩过CS的同学就知道,这是一个反向链接。
那么怎么去通过火绒去查看这种可疑程序,我们是这么去查看的。这个是程序,程序下面你只要点开以后,它下面这些都是它的子程序,当你双击以后,我们是可以看到进程的详细信息的。进程详细信息到一个是当前进程的执行路径,而我们去定位的时候,在这里下面有个子程序加SG里面有两个,然后它的路径是什么,所以我们是通过这样的方式去进行定位。
好,那这个就是当前进程的一个执行路径。然后下面一个是什么?当前进程执行的一个命令,再往下是一个啥,是当前程序所在的一个目录。当前进程所在的目录在哪里?在d盘下面是不是?Omens。然后这个下面是定位恶意程序,好,定位恶意程序之后,我们接下来就要去进入什么?进入恶意程序的一个目录。进入到可疑程序所在的目录之后,我们发现了存在486896.txt这个文件夹,这个不是文件夹,是文件。文本文件。文本文件内容是什么?内容是system in four,这是输出内容。执行了system in for的一些输出内容,说明攻击者在做什么?说明攻击者他在去收集相关补丁的信息和当前受害者的一些主机信息,有可能接下来的一步动作是干什么?去进行提权。